Przejdź do treści
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

RODO dla firm — obowiązki, kary i praktyczny przewodnik zgodności (2026)

RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku. Weszło w życie po dwuletnim okresie przejściowym — 25 maja 20

13 min czytania·Zaktualizowano 1 miesiąc temu

RODO (Ogólne Rozporządzenie o Ochronie Danych) to unijne rozporządzenie 2016/679, które od 25 maja 2018 roku reguluje zasady przetwarzania danych osobowych we wszystkich krajach Unii Europejskiej — w tym w Polsce. Każda firma, niezależnie od wielkości, która gromadzi, przechowuje lub przetwarza dane osobowe klientów, pracowników czy kontrahentów, podlega pod RODO — a za jego naruszenie grożą kary sięgające 20 milionów euro lub 4% rocznego globalnego obrotu.

W skrócie

  • RODO obowiązuje każdą firmę w Polsce od 25 maja 2018 roku — jednoosobową działalność tak samo jak korporację
  • Dane osobowe to nie tylko imię i nazwisko, ale też adres e-mail, IP, numer telefonu, PESEL czy dane z plików cookies
  • Kary za naruszenie: do 10 mln € (2% obrotu) za uchybienia administracyjne, do 20 mln € (4% obrotu) za naruszenie zasad fundamentalnych
  • Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO) — ma prawo nakładać kary bezpośrednio
  • Do sierpnia 2024 r. PUODO i inne organy UE nałożyły łącznie ponad 2400 kar — trend jest rosnący
  • Zgodność z RODO to proces ciągły, nie jednorazowe wdrożenie — wymaga regularnych audytów i aktualizacji dokumentacji

Pełna definicja i zakres RODO

RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku. Weszło w życie po dwuletnim okresie przejściowym — 25 maja 2018 roku — i od tego momentu obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, bez potrzeby implementacji do prawa krajowego. W Polsce RODO zastąpiło wcześniejszą ustawę o ochronie danych osobowych z 1997 roku, a Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpił Prezes Urzędu Ochrony Danych Osobowych (PUODO), powoływany przez Sejm za zgodą Senatu.

Rozporządzenie opiera się na siedmiu fundamentalnych zasadach przetwarzania danych:

  1. Zasada zgodności z prawem, rzetelności i przejrzystości — dane muszą być przetwarzane legalnie, uczciwie i w sposób transparentny dla osoby, której dotyczą
  2. Zasada ograniczenia celu — dane zbierasz wyłącznie w konkretnym, wyraźnym i prawnie uzasadnionym celu; nie możesz ich później wykorzystać w sposób niezgodny z tym celem
  3. Zasada minimalizacji danych — zbierasz tylko te dane, które są niezbędne do realizacji celu
  4. Zasada prawidłowości — dane muszą być dokładne i aktualne; nieprawidłowe należy niezwłocznie usunąć lub sprostować
  5. Zasada ograniczenia przechowywania — przechowujesz dane tylko przez okres niezbędny do realizacji celu
  6. Zasada integralności i poufności — zapewniasz odpowiednie bezpieczeństwo danych, w tym ochronę przed nieuprawnionym przetwarzaniem i przypadkową utratą
  7. Zasada rozliczalności — jako administrator danych (ADO) musisz być w stanie wykazać zgodność ze wszystkimi powyższymi zasadami

Kogo dotyczy RODO

RODO dotyczy każdego podmiotu przetwarzającego dane osobowe osób znajdujących się na terenie UE — niezależnie od tego, czy przetwarzanie odbywa się na terenie Unii, czy poza nią (o ile dotyczy osób w UE). Oznacza to, że polskiemu RODO podlega:

  • Każda firma zarejestrowana w Polsce — od jednoosobowej działalności gospodarczej po międzynarodowe korporacje
  • Każdy sklep internetowy, nawet najmniejszy
  • Każda strona internetowa zbierająca dane przez formularze kontaktowe, newslettery czy pliki cookies
  • Organizacje pozarządowe, stowarzyszenia i fundacje
  • Instytucje publiczne i samorządowe

Wyjątek: RODO nie dotyczy przetwarzania danych w celach czysto osobistych lub domowych (np. prywatna książka adresowa).

Główne obowiązki firm wynikające z RODO

RODO nakłada na administratorów danych szereg konkretnych obowiązków. Poniżej zestawienie kluczowych wymagań wraz z praktycznymi wskazówkami.

1. Obowiązek informacyjny

Każda osoba, której dane zbierasz, musi otrzymać jasną, przejrzystą i zrozumiałą informację o tym:

  • Kto jest administratorem jej danych (pełna nazwa firmy, adres, dane kontaktowe)
  • W jakim celu i na jakiej podstawie prawnej dane są przetwarzane
  • Przez jaki okres dane będą przechowywane
  • Komu dane mogą być przekazywane
  • Jakie prawa przysługują osobie (dostęp, sprostowanie, usunięcie, przeniesienie, sprzeciw)
  • O prawie do wniesienia skargi do PUODO

Obowiązek informacyjny realizuje się najczęściej poprzez klauzulę informacyjną — dokument, który musi być dostępny w momencie pozyskiwania danych (np. pod formularzem kontaktowym na stronie, w regulaminie sklepu, w umowie z pracownikiem).

2. Rejestr czynności przetwarzania

Każda firma zatrudniająca powyżej 250 osób ma obowiązek prowadzenia rejestru czynności przetwarzania danych. Jednak mniejsze firmy też muszą go prowadzić, jeśli:

  • Przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób
  • Przetwarzanie nie ma charakteru sporadycznego
  • Przetwarzane są dane wrażliwe (np. zdrowotne, o karalności) lub dotyczące wyroków skazujących

W praktyce oznacza to, że niemal każda firma powinna posiadać rejestr czynności przetwarzania — nawet mały sklep internetowy, który regularnie przetwarza dane klientów.

3. Inspektor Ochrony Danych (IOD/DPO)

Powołanie Inspektora Ochrony Danych jest obowiązkowe dla:

  • Organów i podmiotów publicznych
  • Firm, których główna działalność polega na monitorowaniu osób na dużą skalę
  • Firm przetwarzających na dużą skalę dane wrażliwe

Małe i średnie firmy rzadko mają obowiązek wyznaczania IOD — ale często robią to dobrowolnie, aby zminimalizować ryzyko naruszeń. IOD może być pracownikiem etatowym lub zewnętrznym konsultantem.

4. Ocena skutków dla ochrony danych (DPIA)

Jeśli planujesz wdrożenie nowego procesu przetwarzania, który może wiązać się z wysokim ryzykiem dla prywatności (np. monitoring wizyjny na dużą skalę, profilowanie klientów, przetwarzanie danych biometrycznych), musisz przeprowadzić ocenę skutków dla ochrony danych. To formalny dokument analizujący ryzyka i opisujący środki ich minimalizacji.

5. Zgłaszanie naruszeń

W przypadku naruszenia ochrony danych (wyciek, kradzież, nieuprawniony dostęp) masz 72 godziny od wykrycia incydentu na zgłoszenie go do PUODO. Jeśli naruszenie może powodować wysokie ryzyko dla praw osób, musisz także niezwłocznie poinformować same osoby, których dane dotyczą.

Kary za naruszenie RODO — realne ryzyko

Kary RODO są realne i boleśnie wysokie. PUODO dysponuje dwoma progami kar:

Próg karyMaksymalna wysokośćPrzykładowe naruszenia
Niższy próg10 mln € lub 2% rocznego globalnego obrotuBrak rejestru czynności przetwarzania, nieprzeprowadzenie DPIA, brak powołania IOD mimo obowiązku, niedopełnienie obowiązku informacyjnego, niewystarczające zabezpieczenia techniczne
Wyższy próg20 mln € lub 4% rocznego globalnego obrotuNaruszenie fundamentalnych zasad przetwarzania, brak podstawy prawnej, złamanie praw osób (np. odmowa dostępu do danych), nielegalne przekazywanie danych poza UE

W obu przypadkach stosuje się wyższą z dwóch wartości — procent obrotu lub kwotę bezwzględną.

PUODO w ostatnich latach pokazał, że nie waha się nakładać dotkliwych kar. Głośnym przypadkiem była kara ponad 3,8 mln zł nałożona na sklep Morele.net za niewystarczające zabezpieczenie danych klientów po ataku hakerskim. Kara ta została nałożona ponownie w 2024 roku po uchyleniu wcześniejszej decyzji przez NSA — co pokazuje determinację urzędu. PUODO nakłada też mniejsze kary (14–33 tys. zł) za brak współpracy z organem nadzorczym.

Prawa osób, których dane dotyczą — co musi obsłużyć Twoja firma

RODO przyznaje osobom fizycznym szereg praw, które każda firma musi respektować i być gotowa zrealizować w ciągu 30 dni od otrzymania żądania (z możliwością przedłużenia o kolejne 2 miesiące w skomplikowanych przypadkach):

PrawoCo oznacza w praktyce
Prawo dostępu do danychKlient może zapytać, jakie dane o nim przechowujesz — musisz odpowiedzieć i dostarczyć kopię danych
Prawo do sprostowaniaObowiązek poprawienia nieprawidłowych danych na żądanie
Prawo do usunięcia ("prawo do bycia zapomnianym")W określonych sytuacjach musisz trwale usunąć dane (np. gdy dane nie są już potrzebne do celu, w którym zostały zebrane)
Prawo do ograniczenia przetwarzaniaNa czas wyjaśnienia sporu o prawidłowość danych musisz je zablokować do przetwarzania
Prawo do przenoszenia danychUdostępnienie danych w ustrukturyzowanym, powszechnie używanym formacie (np. CSV, JSON) — dotyczy danych przetwarzanych automatycznie na podstawie zgody lub umowy
Prawo do sprzeciwuOsoba może sprzeciwić się przetwarzaniu danych do marketingu bezpośredniego — musisz natychmiast zaprzestać
Prawo do niepodlegania automatyzowanym decyzjomNie możesz podejmować wobec osoby decyzji opartych wyłącznie na automatycznym przetwarzaniu (w tym profilowaniu), jeśli wywołują one skutki prawne

RODO w praktyce małej i średniej firmy — lista kontrolna

Poniżej minimalny zestaw działań, które każda firma powinna wdrożyć, aby działać zgodnie z RODO:

  1. Wyznacz administratora danych — zazwyczaj jest to sama firma (właściciel, zarząd)
  2. Przygotuj i wdróż klauzule informacyjne — dla klientów, pracowników, użytkowników strony www, dostawców
  3. Prowadź rejestr czynności przetwarzania — nawet jeśli ustawowo nie musisz, warto go mieć jako dowód rozliczalności
  4. Sprawdź podstawy prawne — każde przetwarzanie musi mieć podstawę (zgoda, umowa, obowiązek prawny, uzasadniony interes administratora)
  5. Zadbaj o zabezpieczenia techniczne i organizacyjne — szyfrowanie, kontrola dostępu, polityka haseł, backup, ochrona przed ransomware
  6. Przygotuj procedurę zgłaszania naruszeń — kto, kiedy i jak zgłasza incydent do PUODO
  7. Przeszkol pracowników — każdy pracownik mający dostęp do danych osobowych musi rozumieć podstawowe zasady RODO
  8. Zweryfikuj umowy powierzenia — jeśli korzystasz z zewnętrznych usług przetwarzających dane (hosting, księgowość, CRM, mailing), musisz mieć z nimi podpisane umowy powierzenia danych

Porównanie: przed RODO vs. po RODO w polskiej firmie

ObszarPrzed RODO (przed 25.05.2018)Po RODO (obecnie)
Organ nadzorczyGIODO (ograniczone kompetencje)PUODO (m.in. bezpośrednie nakładanie kar)
Maksymalna karaDo ok. 200 tys. zł (rzadko egzekwowana)Do 20 mln € lub 4% globalnego obrotu
Zgoda na daneCzęsto domyślna lub dorozumianaMusi być aktywna, świadoma, dobrowolna, konkretna i łatwa do wycofania
Obowiązek informacyjnyOgraniczonyRozbudowany — szczegółowa klauzula przy każdym zbieraniu danych
Rejestr przetwarzaniaNieobowiązkowyObowiązkowy dla większości firm
Zgłaszanie wyciekówBrak obowiązkuObowiązek w ciągu 72 godzin
Prawo do bycia zapomnianymNieistniejącePełnoprawne — firma musi usunąć dane na żądanie
OdpowiedzialnośćReaktywnaProaktywna — zasada rozliczalności

Częste pytania

Czy jednoosobowa działalność gospodarcza też podlega pod RODO?

Tak, w pełnym zakresie. RODO nie rozróżnia wielkości firmy — każdy podmiot przetwarzający dane osobowe w związku z działalnością gospodarczą podlega przepisom. Jedyna różnica dotyczy obowiązku prowadzenia rejestru czynności przetwarzania: firmy zatrudniające poniżej 250 osób są z niego zwolnione, chyba że przetwarzają dane wrażliwe, przetwarzanie nie ma charakteru sporadycznego lub powoduje ryzyko naruszenia praw — co w praktyce dotyczy większości JDG prowadzących sprzedaż online.

Jakie dane są uznawane za "dane osobowe" według RODO?

Dane osobowe to wszelkie informacje umożliwiające bezpośrednią lub pośrednią identyfikację osoby fizycznej. Obejmuje to nie tylko imię, nazwisko, PESEL czy adres zamieszkania, ale także adres e-mail (np. jan.kowalski@firma.pl), numer IP urządzenia, identyfikatory plików cookies, dane o lokalizacji z telefonu, numery rejestracyjne pojazdów, a nawet identyfikatory reklamowe przeglądarki. Szczególną kategorią są tzw. dane wrażliwe: informacje o stanie zdrowia, przekonaniach religijnych, orientacji seksualnej, przynależności związkowej czy karalności — te podlegają jeszcze ostrzejszym rygorom.

Czy muszę powołać Inspektora Ochrony Danych w małej firmie?

W większości przypadków małe firmy nie mają ustawowego obowiązku powoływania IOD. Obowiązek dotyczy głównie organów publicznych oraz firm, których podstawowa działalność polega na monitorowaniu osób na dużą skalę lub na przetwarzaniu danych wrażliwych. Mimo to, wiele małych firm decyduje się na outsourcing IOD — zewnętrzny inspektor kosztuje zazwyczaj od 300 do 1000 zł miesięcznie, a jego obecność znacząco zmniejsza ryzyko kar i pomaga w razie kontroli PUODO.

Co grozi firmie za brak klauzuli informacyjnej na stronie internetowej?

Brak klauzuli informacyjnej to naruszenie jednego z fundamentalnych obowiązków RODO. PUODO może nałożyć karę do 10 mln euro lub 2% globalnego obrotu. W praktyce polski organ nadzorczy stosuje jednak zasadę proporcjonalności — pierwsza kontrola często kończy się upomnieniem i wyznaczeniem terminu na uzupełnienie braków. Dopiero uporczywe ignorowanie obowiązków lub poważne naruszenia przy dużej skali przetwarzania skutkują dotkliwymi karami finansowymi.

Czy korzystanie z Google Analytics lub Facebook Pixel wymaga zgody użytkownika?

Tak — i to jest jeden z najczęściej pomijanych obowiązków RODO. Zarówno Google Analytics, jak i Meta Pixel (Facebook) zbierają dane osobowe (pliki cookies, identyfikatory urządzeń, adresy IP) i przesyłają je na serwery w USA. Zgodnie z RODO i wyrokiem TSUE w sprawie Schrems II, transfer danych do USA wymaga odpowiednich zabezpieczeń. W praktyce oznacza to, że przed załadowaniem tych skryptów musisz uzyskać dobrowolną, świadomą i konkretną zgodę użytkownika poprzez banner cookie. Samo poinformowanie "ta strona używa cookies, korzystając akceptujesz" nie spełnia wymogów — zgoda musi być aktywna (opt-in), a użytkownik musi mieć możliwość łatwego jej wycofania.

Jak długo mogę przechowywać dane byłego klienta?

Zgodnie z zasadą ograniczenia przechowywania — tylko tak długo, jak jest to niezbędne do realizacji celu. Dla danych księgowych (faktury) okres przechowywania wynika z ustaw podatkowych — standardowo 5 lat od końca roku podatkowego. Dla danych marketingowych (np. adres e-mail do newslettera) — do momentu wycofania zgody przez klienta. Dla danych z umów cywilnoprawnych — do czasu przedawnienia roszczeń (zazwyczaj 6 lat). Po upływie tych okresów dane należy trwale usunąć lub zanonimizować.

Czy chmura (np. Microsoft 365, Google Workspace) jest zgodna z RODO?

Korzystanie z chmury publicznej jest w pełni zgodne z RODO, pod warunkiem że dopełnisz formalności. Musisz podpisać z dostawcą chmury umowę powierzenia przetwarzania danych (DPA — Data Processing Agreement), zweryfikować, gdzie fizycznie przechowywane są dane (Microsoft 365 i Google Workspace oferują centra danych w UE), oraz sprawdzić, jakie zabezpieczenia techniczne oferuje dostawca. Microsoft 365 spełnia te wymagania i jest jednym z najczęściej wybieranych rozwiązań w polskich firmach ze względu na zgodność z RODO, szyfrowanie end-to-end i certyfikaty ISO 27001. Jeśli szukasz legalnego oprogramowania biurowego zgodnego z RODO, sprawdź ofertę Microsoft 365 oraz Office w przystępnych cenach w sklepie KluczeSoft.pl — każdy klucz dostarczany jest z fakturą VAT i spełnia wymogi legalności w UE.


Niniejszy artykuł ma charakter informacyjny i nie stanowi porady prawnej. W celu dostosowania polityki RODO do specyfiki Twojej firmy skonsultuj się z prawnikiem lub certyfikowanym Inspektorem Ochrony Danych. KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation ani Urzędem Ochrony Danych Osobowych.

Sprawdź też

<!-- IL-V1 -->

Powiązane artykuły

Najczęściej zadawane pytania

Tak, w pełnym zakresie. RODO nie rozróżnia wielkości firmy — każdy podmiot przetwarzający dane osobowe w związku z działalnością gospodarczą podlega przepisom. Jedyna różnica dotyczy obowiązku prowadzenia rejestru czynności przetwarzania: firmy zatrudniające poniżej 250 osób są z niego zwolnione, chyba że przetwarzają dane wrażliwe, przetwarzanie nie ma charakteru sporadycznego lub powoduje ryzyko naruszenia praw — co w praktyce dotyczy większości JDG prowadzących sprzedaż online.
Dane osobowe to wszelkie informacje umożliwiające bezpośrednią lub pośrednią identyfikację osoby fizycznej. Obejmuje to nie tylko imię, nazwisko, PESEL czy adres zamieszkania, ale także adres e-mail (np. jan.kowalski@firma.pl), numer IP urządzenia, identyfikatory plików cookies, dane o lokalizacji z telefonu, numery rejestracyjne pojazdów, a nawet identyfikatory reklamowe przeglądarki. Szczególną kategorią są tzw. dane wrażliwe: informacje o stanie zdrowia, przekonaniach religijnych, orientacji seksualnej, przynależności związkowej czy karalności — te podlegają jeszcze ostrzejszym rygorom.
W większości przypadków małe firmy nie mają ustawowego obowiązku powoływania IOD. Obowiązek dotyczy głównie organów publicznych oraz firm, których podstawowa działalność polega na monitorowaniu osób na dużą skalę lub na przetwarzaniu danych wrażliwych. Mimo to, wiele małych firm decyduje się na outsourcing IOD — zewnętrzny inspektor kosztuje zazwyczaj od 300 do 1000 zł miesięcznie, a jego obecność znacząco zmniejsza ryzyko kar i pomaga w razie kontroli PUODO.
Brak klauzuli informacyjnej to naruszenie jednego z fundamentalnych obowiązków RODO. PUODO może nałożyć karę do 10 mln euro lub 2% globalnego obrotu. W praktyce polski organ nadzorczy stosuje jednak zasadę proporcjonalności — pierwsza kontrola często kończy się upomnieniem i wyznaczeniem terminu na uzupełnienie braków. Dopiero uporczywe ignorowanie obowiązków lub poważne naruszenia przy dużej skali przetwarzania skutkują dotkliwymi karami finansowymi.
Tak — i to jest jeden z najczęściej pomijanych obowiązków RODO. Zarówno Google Analytics, jak i Meta Pixel (Facebook) zbierają dane osobowe (pliki cookies, identyfikatory urządzeń, adresy IP) i przesyłają je na serwery w USA. Zgodnie z RODO i wyrokiem TSUE w sprawie Schrems II, transfer danych do USA wymaga odpowiednich zabezpieczeń. W praktyce oznacza to, że przed załadowaniem tych skryptów musisz uzyskać **dobrowolną, świadomą i konkretną zgodę** użytkownika poprzez banner cookie. Samo poinformowanie "ta strona używa cookies, korzystając akceptujesz" nie spełnia wymogów — zgoda musi być aktywna (opt-in), a użytkownik musi mieć możliwość łatwego jej wycofania.
Zgodnie z zasadą ograniczenia przechowywania — tylko tak długo, jak jest to niezbędne do realizacji celu. Dla danych księgowych (faktury) okres przechowywania wynika z ustaw podatkowych — standardowo 5 lat od końca roku podatkowego. Dla danych marketingowych (np. adres e-mail do newslettera) — do momentu wycofania zgody przez klienta. Dla danych z umów cywilnoprawnych — do czasu przedawnienia roszczeń (zazwyczaj 6 lat). Po upływie tych okresów dane należy trwale usunąć lub zanonimizować.
Korzystanie z chmury publicznej jest w pełni zgodne z RODO, pod warunkiem że dopełnisz formalności. Musisz podpisać z dostawcą chmury **umowę powierzenia przetwarzania danych** (DPA — Data Processing Agreement), zweryfikować, gdzie fizycznie przechowywane są dane (Microsoft 365 i Google Workspace oferują centra danych w UE), oraz sprawdzić, jakie zabezpieczenia techniczne oferuje dostawca. Microsoft 365 spełnia te wymagania i jest jednym z najczęściej wybieranych rozwiązań w polskich firmach ze względu na zgodność z RODO, szyfrowanie end-to-end i certyfikaty ISO 27001. Jeśli szukasz legalnego oprogramowania biurowego zgodnego z RODO, sprawdź ofertę Microsoft 365 oraz Office w przystępnych ce

Czy ten artykuł był pomocny?